CIS关键安全控制 第8.1版 8.1
控制项模式一套优先顺序的行动,用于保护组织和数据免受已知的网络攻击方式的影响。
为事件响应分配关键角色和职责,包括法律、信息技术、信息安全、设施、公共关系、人力资源、事件响应人员和分析人员的员工(视情况而定)。每年审查一次,或者在可能影响该保障措施的重大企业变更发生时进行审查。
进行事后评审。事后评审通过识别经验教训和后续行动,有助于防止事件再次发生。
为参与事件响应过程的关键人员计划并开展常规的事件响应演练和情景训练,以准备应对实际事件。演练需要测试沟通渠道、决策和工作流程。至少每年进行一次测试。
确定在安全事件期间将使用哪些主要和次要机制进行沟通和报告。机制可以包括电话、电子邮件或信函。请记住,某些机制(如电子邮件)在安全事件期间可能会受到影响。每年审查一次,或在可能影响此防护措施的重大企业变更发生时进行审查。
指定一名关键负责人,至少一名备用人员,负责管理企业的事件处理流程。管理人员负责协调和记录事件响应及恢复工作,可以由企业内部员工、第三方供应商或混合方式组成。如果使用第三方供应商,应指定至少一名企业内部人员来监督任何第三方工作。应每年审查一次,或在发生可能影响此安全防护的重要企业变动时进行审查。
建立并维护一套企业流程,让员工能够报告安全事件。该流程包括报告的时间要求、需报告的人员、报告机制以及需报告的最低信息。确保该流程向全体员工公开可用。每年审核一次,或在可能影响此安全措施的重大企业变更发生时进行审核。
建立并维护事件响应流程,明确角色和职责、合规要求以及沟通计划。每年审查一次,或在可能影响该保障措施的重大企业变更发生时进行审查。
建立并维护需要通报安全事件的各方的联系信息。联系人可能包括内部员工、第三方供应商、执法机构、网络保险提供商、相关政府机构、信息共享与分析中心(ISAC)合作伙伴或其他利益相关者。每年核实联系信息,以确保信息是最新的。
建立并维护安全事件阈值,至少应区分事件与事件类型的区别。示例可以包括:异常活动、安全漏洞、安全弱点、数据泄露、隐私事件等。每年审查一次,或在可能影响此安全措施的重大企业变更发生时进行审查。